Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Important ! Mettez à jour votre wordpress

Important ! Mettez à jour votre wordpress

Info super importante pour tous les utilisateurs de WordPress : Mettez immédiatement à jour votre site vers la version 3.0.4 !

En effet, une énoooorme faille XSS et l'exploit qui va bien permettant à un cracker de mettre à genoux votre site.

Donc on se dépêche... hop hop hop, mise à jour pour tout le monde :-)

Tchussss


Facebook Twitter Email Copier Url

40 Responses to “Important ! Mettez à jour votre wordpress”

  1. Mikaël dit :

    C’est fait :)

    Merci de l’info !

  2. omotillon dit :

    Merci, c’est en cours

  3. TicTacBoom dit :

    Merci pour l’info!

  4. Xota dit :

    Si seulement, la dernière fois que j’ai voulu le faire sur 1and1 il m’a râlé dessus D:

  5. Nath dit :

    Merci, la mise à jour est faite.

  6. Thiib' dit :

    Déjà fait mais merci de l’info !

    Ca en sauvera plus d’un :D

  7. gh0st dit :

    Merci, c’est en cours.

  8. McKay dit :

    @ Xota: Si tu rencontres des problèmes chez 1&1 désactive tes plugins avant de faire la mise à jour.

    Chez moi ça ne fonctionne plus sans effectuer cette opération depuis la dernière mise à jour. ;)

  9. Xota dit :

    hum bon quand j’aurai accès au FTP je retenterai. MAis c’était une question de base de données. Pas la bonne version, visiblement.

  10. Ouf ! Done !!!
    Merci pour l’alerte!

  11. ChevignoN dit :

    C’est fait.

    Merci xD

  12. wally dit :

    aaaaaaaaaaaaaaaaaaaaaaaa

    Vite !!!!!!!!!

  13. billyboy dit :

    on aurais aimer un exemple car l’exploit est trop vague pour quelqu’un qui ne connais pas wordpress

  14. Gregory dit :

    Merci pour l’info !

    Greg

  15. MyGB dit :

    Heu… lol ?
    Quelqu’un a-t-il lu l’exploit ?

    Il s’agit du propriétaire du site qui peut faire cet exploit, pas un “cracker” quelconque.
    Quand on voit un POST sur l’interface d’admin + un cookie, on se doute bien que c’est protégé…

    Par ailleurs, une faille XSS ne “met pas à genoux” un site. Ca sert à pourrir l’expérience utilisateur.

    Elle semble toucher IE6, 7 et NS8.1

  16. Korben dit :

    @MyGB: non pas forcement car avec des système de multi-rédacteurs ou de plugins de soumission d’articles par des internautes (http://wordpress.org/extend/plugins/tdo-mini-forms/), ils peuvent aussi avoir accès au corps de l’article.

  17. Moonwalker dit :

    Merci pour l’info Korben !

    Mon wordpress est protégé par un htaccess car privé, mais bon … ça faisait des semaines que je repoussait cette update, l’update automatique plantant …

    La flemme de le faire à la main, et du coup grâce à toi j’ai pu me motiver pour le faire ce matin :D

  18. MyGB dit :

    @Korben: oui, mais ça reste dans le cadre des administrateurs/blogueurs possédant un accès privilégié.
    S’il s’agit du core de WordPress, un plug-in de soumission pourrait effectivement proposer cet exploit, mais un petit check à la mano de la source HTML permet d’éviter ça (dans tous les cas, c’est conseillé de vérifier le format brut soumis par un user qu’on ne connaît pas).

    P.S. et puis tossons, ça touche que les utilisateurs d’IE et Netscape ^^’.

    Enfin, ce qui me fait surtout peur, c’est ce genre d’updates à l’arrache
    “http://www.wordpress-fr.net/blog/sortie-en-urgence-de-wordpress-3-0-4”.
    Ce qui a tendance parfois à introduire de nouvelles failles…

  19. Korben dit :

    @MyGB: ouaip, mais si tu savais le nombre de gens qui utilisent encore IE (les pauvres…lol)

  20. MyGB dit :

    @Korben: Ouais entreprises surtout… (enfin, Netscape, je sais pas…)

    Par contre, pour une ligne marqué “spam” ?! :S

    Contenu de l’ancien message :

    “@Korben: oui, mais ça reste dans le cadre des administrateurs/blogueurs possédant un accès privilégié.
    S’il s’agit du core de WordPress, un plug-in de soumission pourrait effectivement proposer cet exploit, mais un petit check à la mano de la source HTML permet d’éviter ça (dans tous les cas, c’est conseillé de vérifier le format brut soumis par un user qu’on ne connaît pas).”

    J’ai juste peur qu’on trouve un 0day avec des updates du type à l’arrache :
    http://www.wordpress-fr.net/blog/sortie-en-urgence-de-wordpress-3-0-4

  21. outadoc dit :

    Mon site s’est mis en maintenance après la màj ><
    "Indisponibilité temporaire pour cause de maintenance. Veuillez revenir dans un instant."
    EDIT: c’est bon, j’ai trouvé, fallait supprimer le fichier .maintenance =)

  22. nelsHD dit :

    Thanx pour l’info …
    Et hop MAJ faite ;)

  23. Harold dit :

    Sympa l’alerte générale, merci.

  24. Carmin.D dit :

    Done ! Merci tonton :-)

  25. Jesus dit :

    Fatal error: Call to undefined function is_multisite() in /homez.361/***/www/wp-admin/menu.php on line 28

    La ligne en question:

    if ( is_multisite() && is_super_admin() ) {

    (et la double condition multisite revient plusieurs fois..) Aheum. J’ai pas de multisite, un seul wordpress mais bon je vais quand même pas supprimer tout ce qui contient “multisite” :p

  26. Jesus dit :

    Problème réglé en effectuant la mise à jour manuellement.

  27. Nicolas dit :

    Merci pour l’info, mise à jour effectuée ! c’était le petit coup de pouce qu’il me fallait pour passer de WP 2.6.2 vers la 3.0.4 ;-)!!!

  28. BlogoTchim dit :

    Merci tonton Korben, j’ai pu le mettre à jour après “Indisponibilité temporaire pour cause de maintenance. Veuillez revenir dans un instant.” ;)

    Bisous dans l’coup (branché Koa)

  29. Xorax dit :

    Bon ça manque d’info tout ça !!

    ça touche quelles versions ? que supérieur à 3.0 ou même avant ? pourquoi que ie6 ie7 et ns8.1 ? Y a-t-il un moyen de faire une couille avec les autres navigateurs ?

  30. GrandQuick dit :

    @@!!!! Put..n de pages perso SFR !!!!!

    Impossible de passer à WORDPRESS 3 , car les idiots de chez SFR ne veulent pas monter la mémoire php à plus de 32M !!!!

    Je sens que je ne vais pas tarder à passer chez Free !!!!!

    Merci pour l’info, korben !!!

  31. babelkot dit :

    Dommage cette info..cela aurait pu faire disparaître tout un tas de sites que personne ne lit.. :-)

  32. Paul dit :

    Haha, et hop, une autre xss sur la 3.0.4 (dans les commentaires) :

    http://www.exploit-db.com/exploits/15867/

    Je viens tout juste de dl la dernière version, j’ai testé direct et effectivement :)

    Courage les gens qui ont un wordpress !

  33. Zarkk dit :

    Fait, merci ! ;)

  34. comaX dit :

    –commentaire supprimé (devancé par Paul)

  35. dadou dit :

    bonjour,
    en faisant une mise à jour mon blog s’est mis en maintenance
    voila ce que ça me met en clikant dessus

    (Fatal error: Call to undefined function _get_custom_object_labels() in /homez.349/djindash/www/wp-includes/taxonomy.php on line 4)
    Que dois-je faire?
    merci

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55258 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55258 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Univers Populaires

  • Site hébergé par
    Agarik Sponsor Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    <Tristan> Tu fai koi dans la vie?
    <Tomco02> Je suis magicien.
    <Tristan> Sérieu?? tu fai koi comme tour?
    <Tomco02> Je peux appraitre et dispiaraitre à certains endroits.
    <Tristan> mai oui bien sur! aparai devant moi pour voir lol
    <Tomco02> Ok, appuye sur le bouton power de ton pc et j'apparait!
    * Tristan has quit IRC (Connection Closing)

    -- http://danstonchat.com/2592.html
  • Themes

  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »